完全防禦 SamSam 勒索軟體

Corporate
Ransomware

自本文發表以來,Sophos 在這篇 《SamSam─得手近六百萬美元的勒索軟體》的新文章中發表了大量對 SamSam 的新研究。在我們的姐妹網站 Naked Security 上發佈了一篇最新的保護建議

雖然勒索軟體造成的損害大多是使用如 Locky 和 GlobaImposter 般的軟體進行漫無目標的漁翁撒網式攻擊,但是具有毀滅性的目標性攻擊正在增加。

在目標性攻擊中,詐騙分子會鎖定一個易受攻擊的組織並為其量身制定一套方法,以造成最大的傷害和破壞。藉此,詐騙分子能夠大幅減少曝光的機會,同時勒索更高額的贖金。

此類常見的駭客工具之一就是 SamSam 勒索軟體,也稱為 Samas。

SamSam 的攻擊相對比較少,似乎主要集中在醫療照護、政府和教育部門。儘管手法雷同,但沒有兩種攻擊是完全相同的。SamSam 攻擊手法和勒索金額因受害者而異,曾經要求過高達 60,000 美元的贖金。

今年,與 SamSam 有關的比特幣地址已經收到超過 100 萬美元的贖金。

由於攻擊採取目標性,所以我們可以取得的精確資訊很少。SophosLabs 一直在調查最近的攻擊,並發現了勒索軟體在過去幾個月中如何演變的最新資訊。如需詳細資訊,請參閱我們的白皮書《SamSam 勒索軟體精挑細選它的目標》。

持續獲得保護

雖然駭客的方法因目標而異,但只要掌握其特定的弱點,但仍有一些值得特別關注的地方。

1.把門鎖上

SamSam 攻擊起初多半是由攻擊者攻破 RDP 帳戶的低強度密碼,因此:

  • 如果您不需要 RDP,請將其關閉。
  • 確保使用者使用高強度密碼
  • 盡可能啟用雙因素驗證 (2FA)。
  • 僅接受來自已授權電腦的 RDP 連線。
  • 設定鎖定政策以限制嘗試密碼的頻率。

2.修補任何漏洞

SamSam 攻擊者還會透過利用 Java 反序列化弱點和未修補的 JBoss 系統入侵目標網路,包括:CVE-2010-0738CVE-2012-0874 和 CVE-2010-1428

當然,假設 SamSam 駭客會利用任何已知的弱點實現目的是有道理的,因此修補這份列表對任何威脅一體適用,也就是跟上修補的腳步。

3.保持整潔

如果攻擊者取得了您網路的存取權限,那麼阻擋攻擊就不只是偵測是否出現明顯惡意的檔案那麼簡單了。SamSam 攻擊使用的許多工具都用得恰到好處,因為它們都是您網路上現有的合法軟體,例如 PsExe、Powershell、Script 或 CScript。

如果您是 Sophos 客戶,可以使用 Application Control 設定您組織對合法應用程式的存取權限。例如確保需要 Powershell 的系統管理員可以使用它,而一般使用者則無權使用。

我們已經發現 SamSam 使用 PsExec 來幫助它在網路中散播。在預設情況下,我們的產品會將 PsExec 偵測為可能不需要的應用程式 (PUA) 並加以阻擋。

系統管理員應確保啟用 PUA 掃描,而且 PsExec 沒有被新增到授權清單中。如果您需要使用PsExec,請只授權給需要它的使用者,並在作業完成後撤銷該授權。

4.養隻能幹的看門犬 (或兩隻)

您擁有的每層安全保護都是針對不同類型的威脅而設計的,而採用多個重疊保護層的深度防禦策略是最好的方法。

Sophos Endpoint 和 Sophos Server 可將目前版本的 SamSam 偵測為 Troj/Samas-F、Troj/RansRun-A 和 Mal/Kryptik-BV 並加以阻擋。

使用 Intercept X 或 Exploit Prevention 的客戶,可透過我們的反勒索軟體保護技術 CryptoGuard 防禦 SamSam 的攻擊。

擁有 Central Server Advanced 授權的客戶,可以部署伺服器鎖定 (許可清單) 來強化伺服器,以防止未經授權的更改。

使用 Sophos CentralXG Firewall 的客戶可以使用 Security Heartbeat™ 功能,讓您的端點能夠與防火牆溝通,已建立發現威脅時自動隔離電腦的政策,快速地遏阻任何威脅。

 

英文原文:  https://news.sophos.com/en-us/2018/05/02/shutting-out-samsam-ransomware/?cmp=28009

(本博文為翻譯本,內容以英文原文為準)

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.